Mart 2024’te, silahlı bir özgeçmişle başlayan ve birden fazla sunucunun ele geçirilmesiyle sonuçlanan karmaşık bir izinsiz girişi ortaya çıkaran karmaşık bir siber saldırı tespit edildi.
Bu olay, tehdit aktörlerinin gelişen taktiklerini ve sağlam siber güvenlik önlemlerinin önemini vurgulamaktadır.
Saldırı, Proofpoint tarafından TA4557 olarak tanımlanan bir tehdit aktörünün kötü niyetli bir iş başvurusu yapmasıyla başladı.
Bu grubun FIN6 ile tarihi bağlantıları vardır ve Cobalt Group ve Evilnum ile takım benzerliklerini paylaşmaktadır.
DFIR Report’taki güvenlik analistleri, sahte bir çevrimiçi özgeçmişin cazibesine kapılan kurbanın, “John Shimkus.zip” adlı zip arşivinden kötü amaçlı bir .lnk dosyasını indirip çalıştırdığını keşfetti.
.webp)
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Enfeksiyon Zinciri
Enfeksiyon süreci birkaç aşamadan oluşuyordu: –
- Windows Kısayolu (.lnk) dosyasının yürütülmesi
- İe4uinit.exe’nin (yasal bir Microsoft yürütülebilir dosyası) kötüye kullanılması
- more_eggs arka kapısının konuşlandırılması
- Kobalt Saldırı fenerinin kurulumu
İlk veri, bir .inf dosyası oluşturmak ve ie4uinit.exe dosyasının meşru bir kopyasını özel bir konuma taşımak için karmaşık komutlar kullanıyordu.
.webp)
LOLBin kötüye kullanımı olarak bilinen bu teknik, saldırganın uzak sunuculardan COM komut dosyalarını yüklemesine ve yürütmesine olanak tanıyordu.
more_eggs arka kapısı, LOLBAS projesinde belgelenen bir teknik olan msxsl.exe ikili dosyası kullanılarak konuşlandırıldı.
Bu kötü amaçlı yazılım, kalıcılık için zamanlanmış bir görev kullanarak komuta ve kontrol (C2) sunucusuyla kalıcı iletişim kurdu.
İlk enfeksiyondan sonra tehdit aktörü:-
- Sahildeki ana makineye Cobalt Strike konuşlandırıldı
- Bir yedekleme sunucusundaki Veeam yazılımında CVE-2023-27532’den yararlanıldı
- Yeni yerel yönetici hesapları oluşturuldu
- Güvenliği ihlal edilmiş sunuculara bağlanmak için RDP kullanıldı
- Trafiği tünellemek için Cloudflared kuruldu
Saldırgan, VeeamHax’ın değiştirilmiş bir sürümünü kullanarak Veeam’deki güvenlik açığından yararlanarak rastgele SQL komutları yürütmesine ve yerel yönetici hesabı oluşturmasına olanak sağladı.
.webp)
Tehdit aktörü, kimlik bilgileri erişimi ve ağ keşfi için çeşitli teknikler kullandı: –
- Kimlik bilgileri için erişilen LSASS belleği
- Numaralandırma için Emniyet Kemeri ve SharpShares gibi araçlar kullanıldı
- Etki alanı keşfi için adfind.exe yürütüldü
- Ağ eşlemesi için SoftPerfect Ağ Tarayıcısı kullanıldı
İki birincil C2 kanalı gözlemlendi: –
- pin.howasit ile iletişim kuran more_eggs verisi[.]iletişim
- Shehasgone’a bağlanan Kobalt Saldırısı işaretçisi[.]iletişim
Aşağıda zaman çizelgesinden bahsettik: –
.webp)
Bu olay, modern tehdit aktörlerinin sosyal mühendislik, güvenlik açıklarından yararlanma ve gelişmiş istismar sonrası teknikleri birleştirerek kullandığı karmaşık taktikleri gösteriyor.
Kuruluşların bu tür çok aşamalı saldırılara karşı dikkatli olmaları ve kapsamlı güvenlik önlemleri almaları gerekiyor.
Analyse Advanced Malware & Phishing Analysis With ANY.RUN Black Friday Deals : Get up to 3 Free Licenses.